Mysql 不开general log与audit log ,如何跟踪用户与数据库的连接记录 …

2023年 9月 21日 63.5k 0

如何创建一个简单的审计,检查哪些数据库用户已经成功连接到数据库。

MySQL提供了一个名为init_connect的全局变量,每次用户成功连接到正在运行的数据库服务器的模式时,都会执行这个变量。如果在下面的示例中,连接用户没有执行由变量定义的代码的权限,连接将被终止。因为init_connect是一个全局变量,所以无法排除一部分用户(SUPER或CONNECTION_ADMIN权限的用户不执行init_connect)执行init _ connect中的代码。init_connect选项不影响拥有SUPER或CONNECTION_ADMIN权限的用户,但是该选项对于应用程序用户来说已经足够了。

create database audit;

CREATE TABLE if not exists audit.logon_log (
id INT UNSIGNED NOT NULL AUTO_INCREMENT,
connection_id INT UNSIGNED NOT NULL,
login_ts TIMESTAMP NOT NULL,
`schema` VARCHAR(64) NULL,
user VARCHAR(77) NOT NULL,
PRIMARY KEY (id)
);

然后,我们创建一个在事件发生时应该执行的过程:

DROP PROCEDURE audit.logon_trigger;

DELIMITER //
CREATE PROCEDURE audit.logon_trigger( IN dbase varchar(64))
SQL SECURITY DEFINER
BEGIN
INSERT INTO audit.logon_log (connection_id, login_ts, `schema`, user)
VALUES (CONNECTION_ID(), CURRENT_TIMESTAMP(), dbase , SESSION_USER());
END;
//
DELIMITER ;

然后,您需要设置init_connect全局参数,以便在用户连接时运行

set global init_connect = "CALL audit.logon_trigger(schema())";

这样做的缺点是,您需要授予数据库中的每个用户对这个过程的执行权限..这个shell oneliner应该为当前数据库中的所有用户提供构造权限。

mysql -uroot -p<pass> -s -Dmysql -e"select user,host from user" | awk '{print "grant execute on PROCEDURE audit.logon_trigger to ""x27"$1"x27""@""x27"$2"x27""x3b"}'; > /tmp/grants.sql

赋权脚本,您应该会看到如下所示的输出...

grant execute on PROCEDURE audit.logon_trigger to 'xxx'@'localhost';

作为数据库的特权用户,您应该运行以下命令,这将使数据库的所有用户都有特权执行该过程

source /tmp/grants.sql

以验证它是可操作的。以标准用户之一的身份登录,然后验证审计数据库是否被正确填充。

(Mon Sep 18 23:19:07 2023)[root@GreatSQL][(none)]>select * from audit.logon_log;
+----+---------------+---------------------+--------+--------------------+
| id | connection_id | login_ts | schema | user |
+----+---------------+---------------------+--------+--------------------+
| 1 | 2505034 | 2023-09-18 23:19:02 | NULL | andy@172.26.170.13 |
| 2 | 2505310 | 2023-09-18 23:19:27 | andy | andy@172.26.170.13 |
+----+---------------+---------------------+--------+--------------------+
2 rows in set (0.00 sec)

相关文章

Oracle如何使用授予和撤销权限的语法和示例
Awesome Project: 探索 MatrixOrigin 云原生分布式数据库
下载丨66页PDF,云和恩墨技术通讯(2024年7月刊)
社区版oceanbase安装
Oracle 导出CSV工具-sqluldr2
ETL数据集成丨快速将MySQL数据迁移至Doris数据库

发布评论